Protection des méthodes d’authentification dans l’ID Microsoft Entra
Remarque
La valeur gérée par Microsoft pour Authenticator Lite passera de désactivée à activée le 26 juin 2023. Tous les locataires laissés dans l’état par défaut Microsoft managed seront activés pour la fonctionnalité le 26 juin.
Microsoft Entra ID ajoute et améliore les fonctionnalités de sécurité pour mieux protéger les clients contre les attaques croissantes. À mesure que de nouveaux vecteurs d’attaque deviennent connus, l’ID Microsoft Entra peut répondre en activant la protection par défaut pour aider les clients à rester à l’avance sur les menaces de sécurité émergentes.
Par exemple, en réponse à l’augmentation des attaques de fatigue MFA, Microsoft a recommandé des moyens pour les clients de défendre les utilisateurs. Une recommandation pour empêcher les utilisateurs d’approuver accidentellement l’authentification multifacteur (MFA) consiste à activer la correspondance de numéro. Par conséquent, le comportement par défaut pour la correspondance de numéro sera explicitement activé pour tous les utilisateurs de Microsoft Authenticator. Vous pouvez en savoir plus sur les nouvelles fonctionnalités de sécurité, telles que la mise en correspondance des numéros, dans notre billet de blog Fonctionnalités de sécurité avancées de Microsoft Authenticator sont désormais en disponibilité générale !.
Il existe deux façons pour la protection d’une fonctionnalité de sécurité d’être activée par défaut :
- Une fois qu’une fonctionnalité de sécurité est publiée, les clients peuvent utiliser le Centre d’administration Microsoft Entra ou l’API Graph pour tester et déployer la modification selon leur propre planification. Pour vous défendre contre de nouveaux vecteurs d’attaque, Microsoft Entra ID peut activer la protection d’une fonctionnalité de sécurité par défaut pour tous les locataires à une certaine date et il n’y aura pas d’option pour désactiver la protection. Microsoft planifie la protection par défaut à l’avance pour permettre aux clients de se préparer à la modification. Les clients ne peuvent pas refuser si Microsoft planifie la protection par défaut.
- La protection peut être managée par Microsoft, ce qui signifie que Microsoft Entra ID peut activer ou désactiver la protection en fonction du paysage actuel des menaces de sécurité. Les clients peuvent choisir d’autoriser Microsoft à gérer la protection. Ils peuvent supprimer Managé par Microsoft pour activer ou désactiver la protection de manière explicite à tout moment.
Remarque
Seule une fonctionnalité de sécurité critique aura la protection activée par défaut.
Protection par défaut activée par l’ID Microsoft Entra
La correspondance des nombres est un bon exemple de protection pour une méthode d’authentification actuellement facultative pour les notifications push dans Microsoft Authenticator pour tous les locataires. Les clients peuvent choisir d’activer le nombre correspondant pour les notifications Push dans Microsoft Authenticator pour les utilisateurs et les groupes, ou ils peuvent le laisser désactivé. La correspondance des nombres est déjà le comportement par défaut pour les notifications sans mot de passe dans Microsoft Authenticator, et les utilisateurs ne peuvent pas refuser.
À mesure que les attaques de fatigue MFA augmentent, la correspondance de numéro devient plus critique pour la sécurité de connexion. Par conséquent, Microsoft modifie le comportement par défaut pour les notifications Push dans Microsoft Authenticator.
Paramètres gérés par Microsoft
En plus de configurer les paramètres de stratégie des méthodes d’authentification pour qu’ils soient Activé ou désactivé, les administrateurs informatiques peuvent configurer certains paramètres dans la stratégie des méthodes d’authentification pour qu’ils soient gérés par Microsoft. Un paramètre configuré en tant que géré par Microsoft permet à Microsoft Entra ID d’activer ou de désactiver le paramètre.
L’option permettant à Microsoft Entra ID de gérer le paramètre est un moyen pratique pour une organisation d’autoriser Microsoft à activer ou désactiver une fonctionnalité par défaut. Les organisations peuvent améliorer plus facilement leur posture de sécurité en faisant confiance à Microsoft pour gérer lorsqu’une fonctionnalité doit être activée par défaut. En configurant un paramètre en tant que géré par Microsoft (nommé par défaut dans les API Graph), les administrateurs informatiques peuvent approuver Microsoft pour activer une fonctionnalité de sécurité qu’ils n’ont pas explicitement désactivée.
Par exemple, un administrateur peut activer emplacement et le nom de l’application dans les notifications Push pour donner aux utilisateurs plus de contexte lorsqu’ils approuvent les demandes MFA avec Microsoft Authenticator. Le contexte supplémentaire peut également être explicitement désactivé ou défini comme managé par Microsoft. Aujourd’hui, la configuration gérée par Microsoft pour l’emplacement et le nom de l’application est Désactivé, ce qui désactive efficacement l’option pour n’importe quel environnement dans lequel un administrateur choisit de laisser Microsoft Entra ID gérer le paramètre.
À mesure que le paysage des menaces de sécurité change au fil du temps, Microsoft peut modifier la configuration Managé par Microsoft pour l’emplacement et le nom de l’application en Activé. Pour les clients qui souhaitent s’appuyer sur Microsoft afin d’améliorer leur posture de sécurité, la définition des paramètres de sécurité sur géré par Microsoft est un moyen simple de prendre une longueur d'avance sur les menaces de sécurité. Ils peuvent faire confiance à Microsoft pour déterminer la meilleure façon de configurer les paramètres de sécurité en fonction des menaces actuelles.
Le tableau suivant répertorie chaque paramètre pouvant être défini sur Microsoft géré et indique si ce paramètre est activé ou désactivé par défaut.
| Réglage | Configuration |
|---|---|
| Campagne d’inscription | Activé pour les utilisateurs d’appels vocaux et de sms |
| Emplacement dans les notifications Microsoft Authenticator | Handicapé |
| Nom d’application dans les notifications Microsoft Authenticator | Handicapé |
| MFA par défaut du système | Activé |
| Authenticator Lite | Activé |
| Signaler des activités suspectes | Handicapé |
À mesure que les vecteurs de menace changent, Microsoft Entra ID peut annoncer la protection par défaut d’un paramètre managé par Microsoft dans les notes de publication et sur des forums couramment lus comme Tech Community.
Pour plus d'informations, consultez notre billet de blog Il est temps d’abandonner les transports téléphoniques pour l’authentification qui traite de l’abandon de l’utilisation des messages texte et des appels vocaux. Cette modification entraîne l’activation par défaut de la campagne d’inscription pour aider les utilisateurs à configurer Authenticator pour l’authentification moderne.
Étapes suivantes
méthodes d’authentification dans Microsoft Entra ID - Microsoft Authenticator